Erlang/OTP 27.x < 27.3.4.10 / 28.x < 28.4.2 の OCSP 証明書検証バイパス (CVE-2026-32144)
high Nessus プラグイン ID 305687
Language:
概要
リモートホストは、証明書検証バイパスの脆弱性の影響を受けます。説明
リモートホストにインストールされている Erlang/OTP のバージョンは、27.3.4.10 より前の 27.x、28.4.2 より前の 28.x です。したがって、証明書検証をバイパスする脆弱性の影響を受けます。- public_key アプリケーションの OCSP レスポンス検証における不適切な証明書検証により、OCSP レスポンスを傍受またはコントロールできる攻撃者が、失効した証明書を有効として示すレスポンスを偽造する可能性があります。OCSP レスポンスの検証において、CA 指定のレスポンダー証明書は発行元 CA によって暗号的に署名されていることを検証しておらず、レスポンダー証明書の発行者名および OCSPSigning 拡張キー使用法のみを確認しています。
(CVE-2026-32144)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Erlang/OTP バージョン 27.3.4.10、28.4.2、またはそれ以降にアップグレードしてください。参考資料
https://github.com/erlang/otp/security/advisories/GHSA-gxrm-pf64-99xm
プラグインの詳細
深刻度: High
ID: 305687
ファイル名: erlang_otp_CVE-2026-32144.nasl
バージョン: 1.4
タイプ: Local
エージェント: windows, macosx, unix
ファミリー: Misc.
公開日: 2026/4/9
更新日: 2026/4/27
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.0
CVSS v2
リスクファクター: High
基本値: 7.1
現状値: 5.3
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:N
CVSS スコアのソース: CVE-2026-32144
CVSS v3
リスクファクター: High
基本値: 7.4
現状値: 6.4
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS v4
リスクファクター: High
Base Score: 7.6
Threat Score: 4.9
Threat Vector: CVSS:4.0/E:U
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:N/SC:L/SI:L/SA:N
脆弱性情報
CPE: cpe:/a:erlang:erlang%2fotp
必要な KB アイテム: installed_sw/Erlang-OTP
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2026/4/7
脆弱性公開日: 2026/4/7
参照情報
CVE: CVE-2026-32144
IAVA: 2026-A-0309